GoGra Linux Backdoor
Претећи актер познат као Харвестер повезан је са новоидентификованом Линукс варијантом свог GoGra бекдора, што сигнализира континуирано ширење његових сајбер шпијунских операција. Верује се да су ови напади првенствено усмерени на ентитете широм Јужне Азије, а форензички докази указују на активности које потичу из Индије и Авганистана. Ово указује на фокусирану кампању прикупљања обавештајних података усмерену на организације у овим регионима.
Преглед садржаја
Прикривено кроз поуздане канале: Злоупотреба облачне инфраструктуре
Одлика ове кампање је злоупотреба легитимних сервиса у облаку за тајну комуникацију. Злонамерни софтвер користи Microsoft Graph API заједно са Outlook поштанским сандучићима као скривени канал за командовање и контролу (C2). Уграђивањем злонамерне комуникације унутар поузданих платформи, нападачи ефикасно заобилазе традиционалне периметралне одбране, што знатно отежава откривање.
Од Графона до ГоГре: Еволуција актера претње
Харвестер је први пут доспео у јавност крајем 2021. године, када је повезан са кампањом крађе информација усмереном на телекомуникациони, владин и ИТ сектор у Јужној Азији. Током те фазе, група је применила прилагођени имплантат познат као Графон, који је такође користио Мајкрософтов Граф АПИ за C2 комуникацију.
У августу 2024. године, даље активности су повезале групу са операцијом против медијске организације у региону. Ова операција је представила GoGra , раније невиђени задњи улаз заснован на Go-у. Недавна открића потврђују да је Harvester проширио ову могућност и ван Windows окружења, сада примењујући варијанту исте породице малвера специфичну за Linux.
Обмањујући улазак: Социјални инжењеринг и тактике извршења
Почетна инфекција се у великој мери ослања на технике социјалног инжењеринга. Жртве се манипулишу да отворе ELF бинарне датотеке прерушене у PDF документе. Након извршења, програм за уклањање инфекција приказује документ мамац како би одржао илузију легитимности, док истовремено тихо покреће задња врата у позадини.
Радни ток командовања и контроле: Прецизност и истрајност
Линукс варијанта GoGra-е одражава свој Виндоус пандан у погледу комуникационе логике и оперативног тока. Она интерагује са одређеним фолдером поштанског сандучета у Аутлуку под називом „Zomato Pizza“, испитујући га сваке две секунде путем упита Open Data Protocol-а (OData). Злонамерни софтвер прати долазне поруке и обрађује само оне које испуњавају одређене критеријуме:
- Имејлови са насловима који почињу са „Унос“ се идентификују као упутства за задавање задатака
Доследни развојни отисци прстију на свим платформама
Упркос разликама у оперативним системима и методама имплементације, основна C2 архитектура остаје конзистентна између Windows и Linux верзија. Истраживачи су такође приметили идентичне правописне грешке у обе варијанте, што снажно указује на заједничког програмера или развојни тим који стоји иза алата.
Стратешке импликације: Проширивање површине напада
Увођење задњег врата заснованог на Линуксу истиче Харвестерове континуиране напоре да диверзификује своје могућности и повећа оперативну флексибилност. Циљањем на више оперативних система и коришћењем поузданих услуга у облаку, група се позиционира да угрози шири спектар окружења, уз одржавање ниског профила детекције.
Ова еволуција наглашава све већу софистицираност модерних актера претњи и потребу за адаптивном, на понашању заснованом одбраном у сајбер безбедности.
